CVE-2026-28514

Nome do Software Vulnerável e Versões Afetadas Versões do Rocket.Chat anteriores a 7.8.6 Versões do Rocket.Chat anteriores a 7.9.8 Versões do Rocket.Chat anteriores a 7.10.7 Versões do Rocket.Chat anteriores a 7.11.4 Versões do Rocket.Chat anteriores a 7.12.4 Versões do Rocket.Chat anteriores a 7.13.3 Versões do Rocket.Chat anteriores a 8.0.0

Descrição O Rocket.Chat é uma plataforma de comunicação. Existe um problema crítico no serviço de conta dentro do microsserviço ddp-streamer que permite a um atacante autenticar-se como qualquer usuário com uma senha definida, usando uma senha arbitrária. Isso se deve à ausência da palavra-chave 'await' ao validar senhas de forma assíncrona, resultando em um objeto Promise sendo incorretamente avaliado como uma autenticação bem-sucedida. Isso poderia levar à tomada de conta se um nome de usuário for conhecido ou puder ser adivinhado.

Recomendações Atualize o Rocket.Chat para a versão 7.8.6 ou posterior. Atualize o Rocket.Chat para a versão 7.9.8 ou posterior. Atualize o Rocket.Chat para a versão 7.10.7 ou posterior. Atualize o Rocket.Chat para a versão 7.11.4 ou posterior. Atualize o Rocket.Chat para a versão 7.12.4 ou posterior. Atualize o Rocket.Chat para a versão 7.13.3 ou posterior. Atualize o Rocket.Chat para a versão 8.0.0 ou posterior.